Вредоносное ПО Grandoreiro: фишинг, эксплойты Outlook и многое другое

Grandoreiro, банковский троянец, ранее специализировавшийся на финансовых учреждениях Латинской Америки, снова активен. Ранее считалось, что он был ликвидирован в результате операции, проведенной Федеральной полицией Бразилии. Однако аналитики Flashpoint сообщили о новых случаях его появления, на этот раз нацеленных на жертв в Северной Америке, Европе, Азии и Африке. С учетом того, что эта угроза из региональной стала глобальной, важно понимать, как работает Grandoreiro и как защититься от него.

Принцип работы Grandoreiro

Цель Grandoreiro - кража финансовой информации, учетных данных и проведение несанкционированных денежных переводов. Вредоносное ПО распространяется через фишинговые письма с вредоносными ссылками или вложениями. После начального заражения Grandoreiro использует уникальный модуль, позволяющий ему распространяться через локальные установки Microsoft Outlook.

Троянец использует шаблоны электронных писем, отправляемых сервером управления (C2), чтобы рассылать фишинговые сообщения через Outlook. Он сканирует папку "Входящие" жертвы, фильтруя нежелательные адреса, и отправляет собранные письма с вредоносными ссылками на ZIP-архивы или файлы установщика MSI, маскирующиеся под PDF-документы. Эти файлы содержат загрузчик Grandoreiro, продолжающий заражение других систем.

Загрузчик Grandoreiro

Загрузчик, написанный на Borland Delphi, увеличен до более чем 100 МБ, чтобы избежать антивирусного сканирования. При запуске он требует взаимодействия пользователя с поддельной капчей Adobe Acrobat, чтобы предотвратить выполнение в изолированных средах. После этого вредоносное ПО проводит антианализ, используя стандартные API для перечисления процессов и поиска инструментов анализа и других индикаторов изолированной среды.

Если проверка пройдена, троянец собирает основную информацию о жертве, включая IP-адрес, местоположение, имя пользователя, название компьютера, версию ОС, установленный антивирус, наличие Outlook, количество криптовалютных кошельков и банковских программ. Эти данные отправляются на сервер C2 в зашифрованном виде.

Дополнительные возможности вредоносного ПО

Grandoreiro нацелен на кражу финансовых данных и учетных данных для входа, а также на проведение незаконных денежных операций. Он требует взаимодействия с оператором угрозы для выполнения следующих действий:

- Отключение ввода с помощью мыши и блокировка экрана жертвы.

- Установка удаленного контроля для кражи денег без обнаружения.

- Создание поддельных экранов входа или использование кейлоггинга для кражи учетных данных.

- Загрузка и запуск дополнительного вредоносного ПО.

Защита от Grandoreiro

Grandoreiro представляет угрозу как для финансовых учреждений, так и для частных лиц. Для защиты от него рекомендуется:

1. Использовать исчерпывающие источники информации об угрозах для отслеживания новых тактик и инструментов.

2. Быть бдительным при работе с электронной почтой, тщательно проверяя адреса отправителей и ссылки.

3. Поддерживать актуальность антивирусного ПО и других средств безопасности.

4. Внедрять многофакторную аутентификацию (MFA) для критически важных систем и учетных записей, чтобы усложнить злоумышленникам доступ даже при краже учетных данных.

5. Обучать сотрудников вопросам безопасности.

Интересная статья киберэксперта Эла Лахани с сайта Techerati.

Распространенность программ-вымогателей в последние годы тревожно возросла, при этом ошеломляюще увеличилась доля организаций, пострадавших от таких атак. Лакхани подчеркивает, что эти инциденты наносят серьезный финансовый ущерб предприятиям, подчеркивая необходимость устранения коренных причин: фишинга учетных данных и атак на основе паролей.

Чтение этого предложения, вероятно, заняло у вас около двух секунд. За это время, по оценкам, было совершено около 38 атак программ-вымогателей. К концу этого предложения эта цифра, вероятно, составит около 190.

В 2018 году 55,1% организаций пострадали от атак программ-вымогателей. В 2023 году этот процент увеличился до 72,7%, рисуя мрачную картину ландшафта кибербезопасности. Согласно анализу за прошлый год, треть британских CISO заплатили от 3,8 млн до 11,6 млн фунтов стерлингов злоумышленникам-вымогателям. Компании также потратили в среднем 1,41 миллиона фунтов стерлингов на восстановление после атаки программ-вымогателей в 2023 году.

Индустрия кибербезопасности упускает из виду коренные причины этих угроз: фишинг учетных данных и атаки на основе паролей.

Большинство инцидентов с вымогателями происходят, когда вредоносное ПО хакера проникает в ИТ-систему пользователя и шифрует или блокирует его данные, чтобы предотвратить доступ к устройству или файлам. Преступники затем предъявляют ультиматум: платите или рискуете навсегда потерять доступ к вашим системам и данным.

Как хакеру удается проникнуть в систему? Существует три основных вектора атак: фишинг, атаки на основе паролей и уязвимости программного обеспечения.

Фишинг побуждает пользователей переходить по вредоносным ссылкам или загружать зараженные вложения, что позволяет вредоносному ПО проникнуть на их устройства.

Атаки на основе паролей используют слабые или украденные учетные данные для взлома учетных записей или ИТ-систем пользователей с целью внедрения вредоносного ПО. В мае 2021 года сети Colonial Pipeline стали жертвами такой атаки, что привело к паническим покупкам, нехватке топлива и скачкам цен на востоке США.

Уязвимости программного обеспечения позволяют хакерам проникнуть в систему жертвы через не обновленное или устаревшее ПО. Например, Коммерческий банк Китая (ICBC) был вынужден заплатить выкуп после взлома через уязвимость CitrixBleed.

Компании часто инвестируют в неправильные решения, такие как многофакторная аутентификация (MFA) первого поколения, которые не способны защитить от фишинговых атак. Эти решения основаны на нескольких устройствах, что предоставляет злоумышленникам возможности для перехвата или кражи учетных данных, включая токены аутентификации пользователей. Преступники могут получить доступ к системе, фиксируя "второй фактор" или "учетные данные".

Компании должны уделять приоритетное внимание предотвращению атак программ-вымогателей, устраняя коренные причины взломов и вооружаясь нужными инструментами. Предприятия и индустрия кибербезопасности в целом должны пересмотреть свои стратегии безопасности.

Эл Лахани - признанный эксперт по кибербезопасности, борец за цифровую идентификацию, изобретатель, предприниматель и преподаватель университета.

На нашем сайте вы можете скачать бесплатные инструменты для оценки и повышения киберграмотности своих сотрудников.

В последние дни Сингапур пережил крупный инцидент, связанный с мошенничеством по электронной почте, который потряс местный бизнес.

События начали разворачиваться 15 июля 2024 года, когда сингапурская торговая компания получила письмо от якобы своего поставщика с просьбой отправить оплату на новый банковский счет в Восточном Тиморе. Не подозревая о мошенничестве, компания перевела $42,3 миллиона на поддельный счет 19 июля. Только через четыре дня, 23 июля, настоящий поставщик сообщил, что не получал оплату, и компания осознала, что стала жертвой мошенничества.

Сингапурская полиция немедленно связалась с властями Восточного Тимора, и уже 24 июля удалось заморозить $39 миллионов на счету мошенников. В течение следующих нескольких дней, с 24 по 26 июля, было арестовано семь подозреваемых, а также изъято ещё $2 миллиона, предположительно связанных с кражей.

Интерпол сыграл ключевую роль в этом расследовании благодаря своей системе Global Rapid Intervention of Payments (I-GRIP), которая была создана для ускорения международных запросов в случаях финансового мошенничества. Эта система позволила быстро отследить и заморозить украденные средства. По данным Интерпола, к концу 2023 года благодаря I-GRIP было возвращено более полумиллиарда долларов.

Этот случай подчеркивает важность международного сотрудничества в борьбе с киберпреступностью и необходимость усиления мер безопасности для защиты компаний от подобных инцидентов. Сингапурская полиция и Интерпол продемонстрировали, что быстрые и координированные действия могут привести к успешному возврату значительных сумм денег, украденных в результате мошенничества.

Кроме того, данный инцидент акцентирует необходимость обучения сотрудников для предотвращения подобных мошенничеств. Компании должны внедрять программы обучения по кибербезопасности, чтобы сотрудники могли распознавать признаки мошенничества.

Подписывайтесь на наш Телеграм